Azure Monitor의 로그 데이터 및 작업 영역에 대한 액세스 관리Manage access to log data and workspaces in Azure Monitor

Azure Monitor은 Log Analytics 작업 영역에 로그 데이터를 저장 합니다.Azure Monitor stores log data in a Log Analytics workspace. 작업 영역은 데이터 및 구성 정보를 포함하는 컨테이너입니다.A workspace is a container that includes data and configuration information. 로그 데이터에 대 한 액세스를 관리 하려면 작업 영역과 관련 된 다양 한 관리 작업을 수행 합니다.To manage access to log data, you perform various administrative tasks related to your workspace.

이 문서에서는에 대 한 액세스 권한을 부여 하는 방법을 비롯 하 여 로그에 대 한 액세스를 관리 하 고 해당 로그를 포함 하는 작업 영역을 관리 하는This article explains how to manage access to logs and to administer the workspaces that contain them, including how to grant access to:

  • 작업 영역 사용 권한을 사용 하는 작업 영역입니다.The workspace using workspace permissions.
  • Azure RBAC (역할 기반 액세스 제어)를 사용 하 여 특정 리소스의 로그 데이터에 액세스 해야 하는 사용자 ( 리소스 컨텍스트 라고도 함)Users who need access to log data from specific resources using Azure role-based access control (Azure RBAC) - also known as resource-context
  • Azure RBAC를 사용 하 여 작업 영역의 특정 테이블에 있는 로그 데이터에 액세스 해야 하는 사용자입니다.Users who need access to log data in a specific table in the workspace using Azure RBAC.

Azure RBAC 및 액세스 전략에 대 한 로그 개념을 이해 하려면 Azure Monitor 로그 배포 디자인 을 참조 하세요.To understand the Logs concepts around Azure RBAC and access strategies, read designing your Azure Monitor Logs deployment

액세스 제어 모드 구성Configure access control mode

Azure Portal 또는 Azure PowerShell에서 작업 영역에 구성 된 액세스 제어 모드 를 볼 수 있습니다.You can view the access control mode configured on a workspace from the Azure portal or with Azure PowerShell. 다음 지원 되는 방법 중 하나를 사용 하 여이 설정을 변경할 수 있습니다.You can change this setting using one of the following supported methods:

  • Azure portalAzure portal

  • Azure PowerShellAzure PowerShell

  • Azure Resource Manager 템플릿Azure Resource Manager template

Azure Portal에서From the Azure portal

Log Analytics 작업 영역 메뉴의 작업 영역에 대 한 개요 페이지에서 현재 작업 영역 액세스 제어 모드를 볼 수 있습니다.You can view the current workspace access control mode on the Overview page for the workspace in the Log Analytics workspace menu.

작업 영역 액세스 제어 모드 보기

  1. https://portal.azure.com에서 Azure Portal에 로그인합니다.Sign in to the Azure portal at https://portal.azure.com.
  2. Azure Portal에서 작업 영역 > Log Analytics 작업 영역을 선택 합니다.In the Azure portal, select Log Analytics workspaces > your workspace.

작업 영역의 속성 페이지에서이 설정을 변경할 수 있습니다.You can change this setting from the Properties page of the workspace. 작업 영역을 구성할 수 있는 권한이 없는 경우이 설정을 변경할 수 없습니다.Changing the setting will be disabled if you don't have permissions to configure the workspace.

작업 영역 액세스 모드 변경

PowerShell 사용Using PowerShell

다음 명령을 사용 하 여 구독의 모든 작업 영역에 대 한 액세스 제어 모드를 검사 합니다.Use the following command to examine the access control mode for all workspaces in the subscription:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

출력은 다음과 유사합니다.The output should resemble the following:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

값은 작업 영역 False 에 작업 영역 컨텍스트 액세스 모드로 구성 되어 있음을 의미 합니다.A value of False means the workspace is configured with the workspace-context access mode. True 이 이면 작업 영역이 리소스 컨텍스트 액세스 모드로 구성 됩니다.A value of True means the workspace is configured with the resource-context access mode.

참고

작업 영역이 부울 값 없이 반환 되 고 비어 있는 경우 값의 결과도 일치 False 합니다.If a workspace is returned without a boolean value and is blank, this also matches the results of a False value.

다음 스크립트를 사용 하 여 특정 작업 영역에 대 한 액세스 제어 모드를 리소스 컨텍스트 권한으로 설정 합니다.Use the following script to set the access control mode for a specific workspace to the resource-context permission:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

다음 스크립트를 사용 하 여 구독의 모든 작업 영역에 대 한 액세스 제어 모드를 리소스 컨텍스트 권한으로 설정 합니다.Use the following script to set the access control mode for all workspaces in the subscription to the resource-context permission:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager 템플릿 사용Using a Resource Manager template

Azure Resource Manager 템플릿에서 액세스 모드를 구성 하려면 작업 영역의 enableLogAccessUsingOnlyResourcePermissions 기능 플래그를 다음 값 중 하나로 설정 합니다.To configure the access mode in an Azure Resource Manager template, set the enableLogAccessUsingOnlyResourcePermissions feature flag on the workspace to one of the following values.

  • false: 작업 영역을 작업 영역 컨텍스트 권한으로 설정 합니다.false: Set the workspace to workspace-context permissions. 플래그가 설정 되지 않은 경우이 설정이 기본 설정입니다.This is the default setting if the flag isn't set.
  • true: 작업 영역을 리소스 컨텍스트 권한으로 설정 합니다.true: Set the workspace to resource-context permissions.

작업 영역 권한을 사용 하 여 액세스 관리Manage access using workspace permissions

각 작업 영역에는 여러 계정이 연결될 수 있으며, 각 계정이 여러 개의 작업 영역에 액세스할 수 있습니다.Each workspace can have multiple accounts associated with it, and each account can have access to multiple workspaces. Azure RBAC (역할 기반 액세스 제어)를 사용 하 여 액세스를 관리 합니다.Access is managed using Azure role-based access control (Azure RBAC).

다음 활동에도 Azure 권한이 필요합니다.The following activities also require Azure permissions:

작업Action 필요한 Azure 권한Azure Permissions Needed 참고Notes
모니터링 솔루션 추가 및 제거Adding and removing monitoring solutions Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/*
Microsoft.OperationsManagement/*
Microsoft.Automation/*
Microsoft.Resources/deployments/*/write
이러한 사용 권한은 리소스 그룹 또는 구독 수준에서 권한을 부여 받아야 합니다.These permissions need to be granted at resource group or subscription level.
가격 책정 계층 변경Changing the pricing tier Microsoft.OperationalInsights/workspaces/*/write
BackupSite Recovery 솔루션 타일에서 데이터 보기Viewing data in the Backup and Site Recovery solution tiles 관리자 / 공동 관리자Administrator / Co-administrator 클래식 배포 모델을 사용하여 배포된 리소스 액세스Accesses resources deployed using the classic deployment model
Azure Portal에서 작업 영역 만들기Creating a workspace in the Azure portal Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/workspaces/*
작업 영역 기본 속성 보기 및 포털에서 작업 영역 블레이드 입력View workspace basic properties and enter the workspace blade in the portal Microsoft.OperationalInsights/workspaces/read
모든 인터페이스를 사용 하 여 로그 쿼리Query logs using any interface Microsoft.OperationalInsights/workspaces/query/read
쿼리를 사용 하 여 모든 로그 형식 액세스Access all log types using queries Microsoft.OperationalInsights/workspaces/query/*/read
특정 로그 테이블 액세스Access a specific log table Microsoft.OperationalInsights/workspaces/query/<table_name>/read
이 작업 영역으로 로그를 보낼 수 있도록 작업 영역 키를 읽습니다.Read the workspace keys to allow sending logs to this workspace Microsoft.OperationalInsights/workspaces/sharedKeys/action

Azure 사용 권한을 사용 하 여 액세스 관리Manage access using Azure permissions

Azure 권한을 사용하여 Log Analytics 작업 영역에 대한 액세스 권한을 부여하려면 역할 할당을 사용하여 Azure 구독 리소스에 대한 액세스 관리의 단계를 따릅니다.To grant access to the Log Analytics workspace using Azure permissions, follow the steps in use role assignments to manage access to your Azure subscription resources. 예를 들어 사용자 지정 역할은 예제 사용자 지정 역할 을 참조 하세요.For example custom roles, see Example custom roles

Azure의 Log Analytics 작업 영역에는 기본 제공되는 2개의 사용자 역할이 있습니다.Azure has two built-in user roles for Log Analytics workspaces:

  • Log Analytics 독자Log Analytics Reader
  • Log Analytics 참가자Log Analytics Contributor

Log Analytics 독자 역할의 멤버는 다음을 수행할 수 있습니다.Members of the Log Analytics Reader role can:

  • 모든 모니터링 데이터 검색 및 보기View and search all monitoring data
  • 모든 Azure 리소스에 대한 Azure 진단 구성 보기를 포함해 모니터링 설정을 봅니다.View monitoring settings, including viewing the configuration of Azure diagnostics on all Azure resources.

Log Analytics 독자 역할에는 다음 Azure 작업이 포함됩니다.The Log Analytics Reader role includes the following Azure actions:

형식Type 사용 권한Permission 설명Description
작업Action */read 모든 Azure 리소스 및 리소스 구성 보는 기능.Ability to view all Azure resources and resource configuration. 볼 수 있습니다.Includes viewing:
가상 머신 확장 상태Virtual machine extension status
리소스에 대한 Azure 진단 구성Configuration of Azure diagnostics on resources
모든 리소스의 모든 속성 및 설정입니다.All properties and settings of all resources.
작업 영역의 경우 작업 영역 설정을 읽고 데이터에 대해 쿼리를 수행 하는 데 무제한의 모든 권한을 허용 합니다.For workspaces, it allows full unrestricted permissions to read the workspace settings and perform query on the data. 위의 세부적인 옵션을 참조 하세요.See more granular options above.
작업Action Microsoft.OperationalInsights/workspaces/analytics/query/action 더 이상 사용 되지 않으며 사용자에 게 할당할 필요가 없습니다.Deprecated, no need to assign them to users.
작업Action Microsoft.OperationalInsights/workspaces/search/action 더 이상 사용 되지 않으며 사용자에 게 할당할 필요가 없습니다.Deprecated, no need to assign them to users.
작업Action Microsoft.Support/* 지원 사례를 열 수 있습니다.Ability to open support cases
동작 없음Not Action Microsoft.OperationalInsights/workspaces/sharedKeys/read 데이터 컬렉션 API를 사용하고 에이전트를 설치하는 데 필요한 작업 영역 키 읽는 것 방지.Prevents reading of workspace key required to use the data collection API and to install agents. 사용자가 작업 영역에 새 리소스 추가 방지This prevents the user from adding new resources to the workspace

Log Analytics 참가자 역할의 멤버는 다음을 수행할 수 있습니다.Members of the Log Analytics Contributor role can:

  • 사용자가 모든 모니터링 데이터를 읽을 수 있도록 하는 Log Analytics 읽기 권한자 역할 의 모든 권한을 포함 합니다.Includes all the privileges of the Log Analytics Reader role, allowing the user to read all monitoring data

  • Automation 계정 만들기 및 구성Create and configure Automation accounts

  • 관리 솔루션 추가 및 제거Add and remove management solutions

    참고

    마지막 두 작업을 성공적으로 수행하려면 이 사용 권한은 리소스 그룹 또는 구독 수준에서 권한을 부여 받아야 합니다.In order to successfully perform the last two actions, this permission needs to be granted at the resource group or subscription level.

  • 저장소 계정 키 읽기Read storage account keys

  • Azure Storage에서 로그 수집 구성Configure the collection of logs from Azure Storage

  • 다음을 포함한 Azure 리소스의 모니터링 설정 편집Edit monitoring settings for Azure resources, including

    • VM에 VM 확장 추가Adding the VM extension to VMs
    • 모든 Azure 리소스에 대한 Azure 진단 구성Configuring Azure diagnostics on all Azure resources

참고

가상 머신을 완전히 제어하기 위해 가상 머신으로 가상 머신 확장을 추가할 수 있는 기능을 사용할 수 있습니다.You can use the ability to add a virtual machine extension to a virtual machine to gain full control over a virtual machine.

Log Analytics 기여자 역할에는 다음 Azure 작업이 포함됩니다.The Log Analytics Contributor role includes the following Azure actions:

사용 권한Permission DescriptionDescription
*/read 다음을 포함해 모든 리소스 및 리소스 구성을Ability to view all resources and resource configuration. 볼 수 있습니다.Includes viewing:
가상 머신 확장 상태Virtual machine extension status
리소스에 대한 Azure 진단 구성Configuration of Azure diagnostics on resources
모든 리소스의 모든 속성 및 설정입니다.All properties and settings of all resources.
작업 영역의 경우 작업 영역 설정을 읽고 데이터에 대해 쿼리를 수행할 수 있는 완전 무제한 권한을 허용 합니다.For workspaces, it allows full unrestricted permissions to read the workspace setting and perform query on the data. 위의 세부적인 옵션을 참조 하세요.See more granular options above.
Microsoft.Automation/automationAccounts/* Runbook 추가 및 편집을 포함해 Azure Automation 계정을 만들고 구성할 수 있습니다.Ability to create and configure Azure Automation accounts, including adding and editing runbooks
Microsoft.ClassicCompute/virtualMachines/extensions/*
Microsoft.Compute/virtualMachines/extensions/*
Microsoft Monitoring Agent 확장 및 Linux 확장용 OMS Agent를 포함해 가상 머신 확장 추가, 업데이트 및 제거Add, update and remove virtual machine extensions, including the Microsoft Monitoring Agent extension and the OMS Agent for Linux extension
Microsoft.ClassicStorage/storageAccounts/listKeys/action
Microsoft.Storage/storageAccounts/listKeys/action
스토리지 계정 키를 봅니다.View the storage account key. Azure Storage 계정에서 로그를 읽을 Log Analytics 구성 필요Required to configure Log Analytics to read logs from Azure storage accounts
Microsoft.Insights/alertRules/* 규칙 추가, 업데이트 및 제거Add, update, and remove alert rules
Microsoft.Insights/diagnosticSettings/* Azure 리소스에 대한 진단 설정 추가, 업데이트 및 제거Add, update, and remove diagnostics settings on Azure resources
Microsoft.OperationalInsights/* Log Analytics 작업 영역에 대 한 구성을 추가, 업데이트 및 제거 합니다.Add, update, and remove configuration for Log Analytics workspaces. 작업 영역 고급 설정을 편집 하려면 사용자가 필요 Microsoft.OperationalInsights/workspaces/write 합니다.To edit workspace advanced settings, user needs Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/* 관리 솔루션 추가 및 제거Add and remove management solutions
Microsoft.Resources/deployments/* 디렉터리를 만들고 삭제합니다.Create and delete deployments. 솔루션, 작업 공간 및 자동화 계정 추가 및 제거에 필요Required for adding and removing solutions, workspaces, and automation accounts
Microsoft.Resources/subscriptions/resourcegroups/deployments/* 디렉터리를 만들고 삭제합니다.Create and delete deployments. 솔루션, 작업 공간 및 자동화 계정 추가 및 제거에 필요Required for adding and removing solutions, workspaces, and automation accounts

사용자 역할에 사용자를 추가 및 제거하려면 Microsoft.Authorization/*/DeleteMicrosoft.Authorization/*/Write 권한이 있어야 합니다.To add and remove users to a user role, it is necessary to have Microsoft.Authorization/*/Delete and Microsoft.Authorization/*/Write permission.

이러한 역할을 사용하여 사용자에게 다양한 범주에서 액세스를 제공합니다.Use these roles to give users access at different scopes:

  • 구독 - 구독에서 모든 작업 영역에 대한 액세스Subscription - Access to all workspaces in the subscription
  • 리소스 그룹 - 리소스 그룹에서 모든 작업 영역에 대한 액세스Resource Group - Access to all workspace in the resource group
  • 리소스 - 지정된 작업 영역에만 액세스Resource - Access to only the specified workspace

정확한 액세스 제어를 보장 하려면 리소스 수준 (작업 영역)에서 할당을 수행 하는 것이 좋습니다.We recommend performing assignments at the resource level (workspace) to assure accurate access control. 사용자 지정 역할을 사용하여 필요한 특정 권한이 있는 역할을 만듭니다.Use custom roles to create roles with the specific permissions needed.

리소스 권한Resource permissions

사용자가 리소스 컨텍스트 액세스를 사용 하 여 작업 영역에서 로그를 쿼리하면 해당 리소스에 대해 다음과 같은 사용 권한이 부여 됩니다.When users query logs from a workspace using resource-context access, they'll have the following permissions on the resource:

사용 권한Permission DescriptionDescription
Microsoft.Insights/logs/<tableName>/read

예제:Examples:
Microsoft.Insights/logs/*/read
Microsoft.Insights/logs/Heartbeat/read
리소스에 대 한 모든 로그 데이터를 볼 수 있습니다.Ability to view all log data for the resource.
Microsoft.Insights/diagnosticSettings/write 이 리소스에 대 한 로그를 설정할 수 있도록 진단 설정을 구성 하는 기능입니다.Ability to configure diagnostics setting to allow setting up logs for this resource.

/read사용 권한은 일반적으로 기본 제공 판독기 및 기여자 역할과 같은 사용 * /읽기 또는 사용 권한을 포함 하는 역할에서 부여 됩니다 * . Reader Contributor/read permission is usually granted from a role that includes */read or * permissions such as the built-in Reader and Contributor roles. 특정 작업 또는 전용 기본 제공 역할을 포함 하는 사용자 지정 역할에는이 권한이 포함 되지 않을 수 있습니다.Custom roles that include specific actions or dedicated built-in roles might not include this permission.

다른 테이블에 대 한 다른 액세스 제어를 만들려면 아래의 테이블당 액세스 제어 정의 를 참조 하세요.See Defining per-table access control below if you want to create different access control for different tables.

사용자 지정 역할 예제Custom role examples

  1. 사용자에 게 리소스에서 로그 데이터에 대 한 액세스 권한을 부여 하려면 다음을 수행 합니다.To grant a user access to log data from their resources, perform the following:

    • 작업 영역 또는 리소스 권한을 사용 하도록 작업 영역 액세스 제어 모드 구성Configure the workspace access control mode to use workspace or resource permissions

    • 사용자 */read 에 게 Microsoft.Insights/logs/*/read 리소스에 대 한 권한을 부여 합니다.Grant users */read or Microsoft.Insights/logs/*/read permissions to their resources. 작업 영역에서 Log Analytics 읽기 권한자 역할이 이미 할당 된 경우에는 충분 합니다.If they are already assigned the Log Analytics Reader role on the workspace, it is sufficient.

  2. 사용자에 게 리소스의 로그 데이터에 대 한 액세스 권한을 부여 하 고 작업 영역에 로그를 보내도록 리소스를 구성 하려면 다음을 수행 합니다.To grant a user access to log data from their resources and configure their resources to send logs to the workspace, perform the following:

    • 작업 영역 또는 리소스 권한을 사용 하도록 작업 영역 액세스 제어 모드 구성Configure the workspace access control mode to use workspace or resource permissions

    • 사용자에 게 작업 영역에 대 한 다음 권한을 부여 합니다. Microsoft.OperationalInsights/workspaces/readMicrosoft.OperationalInsights/workspaces/sharedKeys/action .Grant users the following permissions on the workspace: Microsoft.OperationalInsights/workspaces/read and Microsoft.OperationalInsights/workspaces/sharedKeys/action. 이러한 권한이 있는 사용자는 작업 영역 수준 쿼리를 수행할 수 없습니다.With these permissions, users cannot perform any workspace-level queries. 작업 영역을 열거 하 고이를 진단 설정 또는 에이전트 구성의 대상으로 사용할 수만 있습니다.They can only enumerate the workspace and use it as a destination for diagnostic settings or agent configuration.

    • 사용자에 게 리소스에 대 한 다음 권한을 부여 합니다. Microsoft.Insights/logs/*/readMicrosoft.Insights/diagnosticSettings/write .Grant users the following permissions to their resources: Microsoft.Insights/logs/*/read and Microsoft.Insights/diagnosticSettings/write. 이미 Log Analytics 참여자 역할을 할당 받거나 읽기 권한자 역할을 할당 받거나 */read 이 리소스에 대 한 권한이 부여 된 경우에는 충분 합니다.If they are already assigned the Log Analytics Contributor role, assigned the Reader role, or granted */read permissions on this resource, it is sufficient.

  3. 보안 이벤트를 읽고 데이터를 보낼 수 없는 경우 사용자에 게 리소스의 로그 데이터에 대 한 액세스 권한을 부여 하려면 다음을 수행 합니다.To grant a user access to log data from their resources without being able to read security events and send data, perform the following:

    • 작업 영역 또는 리소스 권한을 사용 하도록 작업 영역 액세스 제어 모드 구성Configure the workspace access control mode to use workspace or resource permissions

    • 사용자에 게 리소스에 대 한 다음 권한을 부여 Microsoft.Insights/logs/*/read 합니다..Grant users the following permissions to their resources: Microsoft.Insights/logs/*/read.

    • 사용자가 SecurityEvent 형식을 읽을 수 없도록 차단 하는 다음과 같은 NonAction을 추가 Microsoft.Insights/logs/SecurityEvent/read 합니다.Add the following NonAction to block users from reading the SecurityEvent type: Microsoft.Insights/logs/SecurityEvent/read. NonAction은 읽기 권한 ()을 제공 하는 동작과 동일한 사용자 지정 역할에 있어야 합니다 Microsoft.Insights/logs/*/read .The NonAction shall be in the same custom role as the action that provides the read permission (Microsoft.Insights/logs/*/read). 사용자가이 리소스 또는 구독 또는 리소스 그룹에 할당 된 다른 역할의 읽기 작업을 수행 하는 경우 모든 로그 유형을 읽을 수 있습니다.If the user inherent the read action from another role that is assigned to this resource or to the subscription or resource group, they would be able to read all log types. 이는 예를 들어 */read 판독기 또는 참가자 역할을 사용 하 여 상속 하는 경우에도 마찬가지입니다.This is also true if they inherit */read, that exist for example, with the Reader or Contributor role.

  4. 사용자에 게 리소스의 로그 데이터에 대 한 액세스 권한을 부여 하 고 모든 Azure AD 로그인을 읽고 작업 영역에서 업데이트 관리 솔루션 로그 데이터를 읽을 수 있도록 하려면 다음을 수행 합니다.To grant a user access to log data from their resources and read all Azure AD sign-in and read Update Management solution log data from the workspace, perform the following:

    • 작업 영역 또는 리소스 권한을 사용 하도록 작업 영역 액세스 제어 모드 구성Configure the workspace access control mode to use workspace or resource permissions

    • 사용자에 게 작업 영역에 대 한 다음 권한을 부여 합니다.Grant users the following permissions on the workspace:

      • Microsoft.OperationalInsights/workspaces/read – 사용자가 작업 영역을 열거 하 고 Azure Portal 작업 영역 블레이드를 열 수 있도록 필요 합니다.Microsoft.OperationalInsights/workspaces/read – required so the user can enumerate the workspace and open the workspace blade in the Azure portal
      • Microsoft.OperationalInsights/workspaces/query/read – 쿼리를 실행할 수 있는 모든 사용자에 게 필요Microsoft.OperationalInsights/workspaces/query/read – required for every user that can execute queries
      • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read – Azure AD 로그인 로그를 읽을 수 있습니다.Microsoft.OperationalInsights/workspaces/query/SigninLogs/read – to be able to read Azure AD sign-in logs
      • Microsoft.OperationalInsights/workspaces/query/Update/read – 업데이트 관리 솔루션 로그를 읽을 수 있습니다.Microsoft.OperationalInsights/workspaces/query/Update/read – to be able to read Update Management solution logs
      • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read – 업데이트 관리 솔루션 로그를 읽을 수 있습니다.Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read – to be able to read Update Management solution logs
      • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read – 업데이트 관리 로그를 읽을 수 있습니다.Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read – to be able to read Update management logs
      • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read – 업데이트 관리 솔루션을 사용 하는 데 필요 합니다.Microsoft.OperationalInsights/workspaces/query/Heartbeat/read – required to be able to use Update Management solution
      • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read – 업데이트 관리 솔루션을 사용 하는 데 필요 합니다.Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read – required to be able to use Update Management solution
    • 사용자에 게 리소스에 대 한 다음 권한을 부여 합니다. */read , 판독기 역할에 할당 된 또는 Microsoft.Insights/logs/*/read 입니다.Grant users the following permissions to their resources: */read, assigned to the Reader role, or Microsoft.Insights/logs/*/read.

Azure RBAC 테이블 수준Table level Azure RBAC

테이블 수준 AZURE RBAC 를 사용 하면 다른 권한 외에도 Log Analytics 작업 영역에서 데이터에 대 한 보다 세분화 된 제어를 정의할 수 있습니다.Table level Azure RBAC allows you to define more granular control to data in a Log Analytics workspace in addition to the other permissions. 이 컨트롤을 사용 하면 특정 사용자 집합에만 액세스할 수 있는 특정 데이터 형식을 정의할 수 있습니다.This control allows you to define specific data types that are accessible only to a specific set of users.

Azure 사용자 지정 역할 을 사용 하 여 테이블 액세스 제어를 구현 하 여 작업 영역의 특정 테이블 에 대 한 액세스 권한을 부여 합니다.You implement table access control with Azure custom roles to either grant access to specific tables in the workspace. 이러한 역할은 사용자의 액세스 모드에 관계 없이 작업 영역 컨텍스트 또는 리소스 컨텍스트 액세스 제어 모드 를 사용 하 여 작업 영역에 적용 됩니다.These roles are applied to workspaces with either workspace-context or resource-context access control modes regardless of the user's access mode.

다음 작업을 사용 하 여 사용자 지정 역할 을 만들어 테이블 액세스 제어에 대 한 액세스를 정의 합니다.Create a custom role with the following actions to define access to table access control.

  • 테이블에 대 한 액세스 권한을 부여 하려면 역할 정의의 작업 섹션에 해당 테이블을 포함 합니다.To grant access to a table, include it in the Actions section of the role definition. 허용 되는 동작 에서 액세스를 빼려는 경우 notactions 섹션에 포함 합니다.To subtract access from the allowed Actions, include it in the NotActions section.
  • 모든 테이블을 지정 하려면 OperationalInsights/workspaces/query/*를 사용 합니다.Use Microsoft.OperationalInsights/workspaces/query/* to specify all tables.

예를 들어 하트 비트azureactivity 테이블에 액세스할 수 있는 역할을 만들려면 다음 작업을 사용 하 여 사용자 지정 역할을 만듭니다.For example, to create a role with access to the Heartbeat and AzureActivity tables, create a custom role using the following actions:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Securitybaseline 테이블에만 액세스할 수 있는 역할을 만들려면 다음 작업을 사용 하 여 사용자 지정 역할을 만듭니다.To create a role with access to only the SecurityBaseline table, create a custom role using the following actions:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

위의 예에서는 허용 되는 테이블 목록을 정의 합니다.The examples above define a list of tables that are allowed. 이 예에서는 사용자가 모든 테이블에 액세스할 수 있지만 Securityalert 테이블에 액세스할 수 있는 경우 차단 된 목록 정의를 보여 줍니다.This example shows blocked list definition when a user can access all tables but the SecurityAlert table:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

사용자 지정 로그Custom logs

사용자 지정 로그는 사용자 지정 로그 및 HTTP 데이터 수집기 API와 같은 데이터 원본에서 생성 됩니다.Custom logs are created from data sources such as custom logs and HTTP Data Collector API. 로그 유형을 식별 하는 가장 쉬운 방법은 로그 스키마의 사용자 지정 로그에나열 된 테이블을 확인 하는 것입니다.The easiest way to identify the type of log is by checking the tables listed under Custom Logs in the log schema.

개별 사용자 지정 로그에는 액세스 권한을 부여할 수 없지만 모든 사용자 지정 로그에 대 한 액세스 권한을 부여할 수는 있습니다.You can't grant access to individual custom logs, but you can grant access to all custom logs. 모든 사용자 지정 로그에 대 한 액세스 권한이 있는 역할을 만들려면 다음 작업을 사용 하 여 사용자 지정 역할을 만듭니다.To create a role with access to all custom logs, create a custom role using the following actions:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

사용자 지정 로그에 대 한 액세스를 관리 하는 다른 방법은 Azure 리소스에 할당 하 고 리소스 컨텍스트 패러다임을 사용 하 여 액세스를 관리 하는 것입니다.An alternative approach to manage access to custom logs is to assign them to an Azure resource and manage access using the resource-context paradigm. 이 메서드를 사용 하려면 AzureResourceId 헤더에 지정 하 여 리소스 ID를 포함 해야 합니다 .이 헤더는 HTTP 데이터 수집기 API를 통해 데이터를 수집 Log Analytics 수 있습니다.To use this method, you must include the resource ID by specifying it in the x-ms-AzureResourceId header when data is ingested to Log Analytics via the HTTP Data Collector API. 리소스 ID는 유효 해야 하 고 액세스 규칙을 적용 해야 합니다.The resource ID must be valid and have access rules applied to it. 로그를 수집 한 후에는 여기에 설명 된 대로 리소스에 대 한 읽기 권한이 있는 로그에 액세스할 수 있습니다.After the logs are ingested, they are accessible to those with read access to the resource, as explained here.

경우에 따라 특정 리소스에 직접 연결 되지 않은 원본에서 사용자 지정 로그를 가져올 수 있습니다.Sometimes custom logs come from sources that are not directly associated to a specific resource. 이 경우 이러한 로그에 대 한 액세스를 관리 하는 리소스 그룹을 만듭니다.In this case, create a resource group just to manage access to these logs. 리소스 그룹에는 비용이 발생 하지 않지만 사용자 지정 로그에 대 한 액세스를 제어 하는 유효한 리소스 ID를 제공 합니다.The resource group does not incur any cost, but gives you a valid resource ID to control access to the custom logs. 예를 들어 특정 방화벽에서 사용자 지정 로그를 보내는 경우 "MyFireWallLogs" 라는 리소스 그룹을 만들고 API 요청에 "MyFireWallLogs"의 리소스 ID가 포함 되어 있는지 확인 합니다.For example, if a specific firewall is sending custom logs, create a resource group called "MyFireWallLogs" and make sure that the API requests contain the resource ID of "MyFireWallLogs". 그런 다음 MyFireWallLogs 또는 전체 작업 영역 액세스 권한이 있는 사용자만 방화벽 로그 레코드에 액세스할 수 있습니다.The firewall log records are then accessible only to users that were granted access to either MyFireWallLogs or those with full workspace access.

고려 사항Considerations

  • 사용자에 게 * /cread 동작을 포함 하는 표준 판독기 또는 참가자 역할을 사용 하 여 전역 읽기 권한이 부여 된 경우에는 테이블당 액세스 제어를 재정의 하 고 모든 로그 데이터에 대 한 액세스 권한을 부여 합니다.If a user is granted global read permission with the standard Reader or Contributor roles that include the */read action, it will override the per-table access control and give them access to all log data.
  • 사용자에 게 테이블당 액세스를 부여 하 고 다른 권한은 부여 하지 않으면 API에서 로그 데이터에 액세스할 수 있지만 Azure Portal에서는 액세스할 수 없습니다.If a user is granted per-table access but no other permissions, they would be able to access log data from the API but not from the Azure portal. Azure Portal에서 액세스할 수 있도록 하려면 Log Analytics 판독기를 기본 역할로 사용 합니다.To provide access from the Azure portal, use Log Analytics Reader as its base role.
  • 구독의 관리자와 소유자는 다른 권한 설정에 관계 없이 모든 데이터 형식에 액세스할 수 있습니다.Administrators and owners of the subscription will have access to all data types regardless of any other permission settings.
  • 작업 영역 소유자는 테이블당 액세스 제어를 위해 다른 사용자와 같은 방식으로 처리 됩니다.Workspace owners are treated like any other user for per-table access control.
  • 할당 수를 줄이기 위해 개별 사용자 대신 보안 그룹에 역할을 할당 하는 것이 좋습니다.We recommend assigning roles to security groups instead of individual users to reduce the number of assignments. 이는 기존 그룹 관리 도구를 사용 하 여 액세스를 구성 하 고 확인 하는 데도 도움이 됩니다.This will also help you use existing group management tools to configure and verify access.

다음 단계Next steps